Une deuxième journée dans la continuité de la première avec des sujets très intéressants traitées de manière détaillée et prospective. Au programme : les résultats du challenge, des conférences, des « rump sessions » et, bien sur, le Social Event !
Les conférences de la matinée ont principalement porté sur des vulnérabilités systèmes sophistiquées et ont mis en avant les pistes permettant de les corriger et d’améliorer le niveau de sécurité.
En guise d’introduction, les résultats du challenge de cette année réalisé par l’ANSSI ont été présentés. Le défi consistait à analyser la copie intégrale de la mémoire physique d’un mobile utilisant le système d’exploitation Android. Pour les motivés, le contenu de la mémoire physique est disponible sur le lien suivant : http://www.sstic.org/media/SSTIC2010/concours_sstic_2010
Empreinte SHA-256: 78c9ab57cdb8ba1eb7fde9a1d165fe86a6789320b63fb079f6ad8cd8dbebe037 concours_sstic_2010
La première conférence portait sur la sécurité de la plateforme d’exécution JAVA et se basait sur un travail collaboratif d’Amossys, Silicom et INRIA. Guillaume Hiet et David Pichardie nous ont montré, grâce à leur étude, les limites du langage JAVA malgré l’ensemble des mécanismes de sécurité dont il bénéficie (vérification de sécurité lors de l’exécution d’une application JAVA, contrôles d’accès, vérification de la signature et de l’intégrité des classes…). Malheureusement, ce langage initialement pensé pour la sécurité présente certaines faiblesses dans son architecture et son implémentation. Ces faiblesses sont principalement dues à une mauvaise utilisation des mécanismes de sécurité disponibles . Enfin, les orateurs nous ont proposé des solutions et des bonnes pratiques à appliquer dans le but d’améliorer le niveau de sécurité de la plateforme (audit de la bibliothèque standard, codage pour renforcer la JVM…). Bon exposé général, synthétique et clair.
La seconde conférence a été animée par Eric Lacombe et Fernand Lone Sang de LAAS-CNRS : une présentation intéressante sur la robustesse des services fournis par une IOMMU vis-à-vis des attaques DMA. Pour commencer, les orateurs ont montré l’intérêt d’embarquer une IOMMU pour protéger le noyau d’un système d’exploitation : ce composant permet de contrôler les accès à la mémoire par les différents périphériques d’entrée/sortie en faisant un Mapping virtuel sur les adresses mémoires. Ensuite un focus a été fait sur la technologie Intel VT-d et sur les différents types d’attaques qui permettent de contourner le mécanisme de sécurité assuré par l’IOMMU. Notamment des attaques ayant pour objectif de reconfigurer les tables de traductions internes et d’effectuer un Spoofing de source-id. En effet, FireWire et Ethernet ayant une même identité, le contrôleur FireWire peut modifier les trames Ethernet entrantes. Une démonstration captivante a été faite en branchant un iPod sur le port FireWire pour modifier les trames ARP de la carte Ethernet et rediriger le trafic. Ainsi, nous avons pu assister à une attaque en live qui a permis une écoute du réseau à l’aide d’un « ARP Poisonning ». Conclusion, cette conférence renforce la bonne pratique de sécurité que nous connaissons très bien : ne pas connecter des périphériques externes non maitrisés sur notre PC.
Après la pause nous avons assisté à une conférence sur la sécurité des cartes réseau présentée par Loïc Duflot et Yves-Alexis Perez de l’ANSSI. L’objectif de cette conférence était de proposer une preuve de concept d’une prise de contrôle à distance en exploitant les failles d’implémentation d’une carte réseau. Après une description de l’architecture complexe d’une carte Broadcom, les auteurs ont mis en évidence un Buffer Overflow touchant le protocole ASF utilisé pour le management et le monitoring à distance. La carte réseau a ainsi été transformée en Backdoor après une réécriture de son Firmware. Une étude approfondie du fonctionnement de la carte ainsi que le développement d’un Debugger ont été nécessaires pour exploiter cette faille. Pour se protéger, désactiver le protocole ASF, ou tout simplement, ne pas connecter une carte utilisant ASF directement sur un réseau non maitrisé type Internet.
Dernière conférence de la matinée présentée par Sébastien Tricaud : Honeypot Project 2010. Le but de la conférence était de présenter l’organisation et les travaux du projet. Honeypot Project a pour mission de renforcer la sécurité d’Internet en proposant des challenges pour mieux connaitre les menaces (Know Your Ennemy) et mieux se protéger (Know Your Tools).
Cf. http://www.honeynet.org/challenges
Les conférences de l’après midi étaient moins techniques que les précédentes. C’était au tour de Frédéric Connes, consultant chez HSC, de nous présenter ses travaux de thèse en droit sur la sécurité des systèmes de vote. Après un rappel des problèmes sécurité de l’automatisation des systèmes de vote actuels, l’auteur nous a proposé une solution qui permet à l’électeur de vérifier l’intégrité de son vote tout en assurant le secret. Cette solution est basée sur l’émission d’un reçu associant une marque (anonyme et aléatoire) au vote permettant la vérification sur un site Internet de la prise en compte du suffrage. La préservation du secret est assurée par l’affichage, sur le reçu, de tous les autres choix possibles, associées à des marques correspondant à des votes antérieurs. De cette façon, si le reçu est récupéré par un tiers, nulle information ne lui permet de deviner le choix du votant. De plus, l’électeur a la possibilité de vérifier les autres choix figurant sur son reçu. En conclusion après les commentaires du public, nous pouvons déduire que cette solution est un peu lourde à implémenter sachant que la mise en œuvre de la vérification du vote nécessite la participation de tous les votants.
La seconde conférence de l’après midi était animée par François-Xavier Bru et Guillaume Fahrner, étudiants en Mastère Spécialisé à Télécom Bretagne. Les orateurs nous ont présenté le résultat d’une expérience intéressante visant à tester le niveau de sécurité et de contrôle des applications Facebook. A l’aide d’une application « Who Crashed You » développée par les auteurs, ceux-ci ont pu récolter des informations personnelles sur les utilisateurs l’ayant installé. La création de profils fictifs, le ciblage des centres d’intérêts/des tranches d’âge, ont permis de faciliter le système de diffusion de l’application. En conclusion, l’étude permet de montrer l’absence de contrôle sur la création d’applications intégrées et la facilité de propagation de malwares sur les plateformes sociales. Une évaluation de ces risques doit être faite au sein des entreprises ainsi qu’une sensibilisation des utilisateurs.
Pour info, si Facebook était un pays, il serait classé troisième mondial en nombre d’habitants (avec 350 millions d’utilisateurs).
En fin d’après midi, début des « rump sessions », 4 minutes par rump. Il s’agit de mini exposés présentés par des personnes du public sur un sujet de leur choix (analyse de mémoire flash de téléphone portable, outil datamining Netglub, projet de site web Security Garden lié à la sécurité, ExeFilter pour les PDF malicieux…).
Lors de cette fameuse séance de Rumps, nous avons pu assister à une présentation intéressante de Mouad Abouhali de l’équipe Security Compliance de Devoteam, intitulée « Weblogic for fun && profit ». L’objectif de la présentation était de mettre en avant la possibilité d’attaquer anonymement la JNDI de l’outil. En fait, le serveur Weblogic offre une interface RMI qui permet d’accéder aux objets publiés au niveau de la JNDI. A l’aide d’une rapide démonstration, Mouad a mis en évidence la possibilité d’accéder à une base de donnée Oracle liée à l’outil Weblogic via le protocole T3 et cela sans la moindre authentification.
Pour finir, la Rump Kesse SSTIC : Chiffres de l’édition 2010 du SSTIC, avec 450 places écoulées en 25 heures, près de 2/3 du budget passe dans les pauses et repas, 467 pages dans les actes, et un taux d’acceptation de 60% pour les soumissions de papier. PS : 27 est le nombre de femmes inscrites cette année.
Globalement, les conférences de ce deuxième jour étaient de très bonne qualité. Mon coup de cœur : la sécurité des cartes réseaux. Belle démonstration d’une prise en main à distance qui permet de mettre en évidence les faiblesses des cartes réseau, qui font partie aujourd’hui des composants les plus exposés aux menaces SI.
(7 votes)
Loading ...